6.8K
Dalfox on hämmästyttävä parametrianalyysi- ja XSS-skannaustyökalu.
Dalfox tarkoittaa tyypillisesti,
Dal = kuu (Korean ääntäminen ) ; Fox = XSS:n löytö.
Dalfoxin ominaisuudet:
- Parametrianalyysi (etsi heijastunut parametri, löytää vapaita/huonoja hahmoja, Injektiokohdan tunnistus)
- Staattinen analyysi (Tarkista Bad-header, kuten CSP, X-Frame-vaihtoehdot, jne.. peruspyyntö/vastauspohjalla)
- Hyötykuormien optimointikysely
- Tarkista injektiopiste abstraktion ja luodun sopivan hyötykuorman kautta.
- Poista tarpeettomat hyötykuormat huonojen merkkien perusteella
- XSS-skannaus(Heijastunut + Tallennettu) ja DOM Base Verifying
- Kaikki testihyötykuormat(sisäänrakennettu, sinun mukautettu/sokea) testataan rinnakkain kooderin kanssa.
- Tuki Double URL Encoderille
- Tuki HTML Hex Encoderille
- Ystävällinen putkisto (yksi URL-osoite, tiedostosta, IO:lta)
- Ja testaukseen tarvittavat eri vaihtoehdot 😀
- sisäänrakennettu/muokattu grepping muiden haavoittuvuuksien löytämiseksi
- jos löysit, toiminnan jälkeen
- jne..
Toimittajan valinta:
- Macof – Ultimate Flooding Tool | Opetusohjelma[2020]
- NWAnime – NWAnimen parhaat vaihtoehdot [2020]
- CCMAKER – Lataa Ultimate Adobe Piracy Kit[2020]
- LOSMOVIES – Paras elävien elokuvien suoratoistosivusto
Kuinka asentaa Dalfox?
Dalfox voidaan asentaa kolmella eri tavalla.
Voit käyttää mitä tahansa niistä.
1. Go-Asenna
- Ensin yksinkertaisesti kloonaa tämä arkisto.
$ git clone https://github.com/hahwul/dalfox
- Asenna kloonatulla Dalfox-polulla
$ go install
- Dalfoxin käyttö
$ ~/go/bin/dalfox2. Go-Get
- mene hakemaan dalfox!
$ go get -u github.com/hahwul/dalfox
- Dalfoxin käyttö
$ ~/go/bin/dalfox3. Julkaisuversio
- Avaa uusin julkaisusivu https://github.com/hahwul/dalfox/releases/latest
- Lataa tiedosto Lataa ja pura käyttöjärjestelmällesi sopiva tiedosto.
- Voit laittaa sen suoritushakemistoon ja käyttää sitä. esim
$ cp dalfox /usr/bin/Dalfoxin käyttö:
_..._
.' .::::. __ _ _ ___ _ __ __
: :::::::: | \ / \ | | | __/ \\ V /
: :::::::: | o ) o || |_ | _( o )) (
'. '::::::' |__/|_n_||___||_| \_//_n_\
'-.::''
Parameter Analysis and XSS Scanning tool based on golang
Finder Of XSS and Dal is the Korean pronunciation of moon. @hahwul
Usage:
dalfox [command]
Available Commands:
file Use file mode(targets list or rawdata)
help Help about any command
pipe Use pipeline mode
sxss Use Stored XSS mode
update Update DalFox (Binary patch)
url Use single target mode
version Show version
Flags:
-b, --blind string Add your blind xss (e.g -b hahwul.xss.ht)
--config string Using config from file
-C, --cookie string Add custom cookie
--custom-payload string Add custom payloads from file
-d, --data string Using POST Method and add Body data
--delay int Milliseconds between send to same host (1000==1s)
--found-action string If found weak/vuln, action(cmd) to next
--grep string Using custom grepping file (e.g --grep ./samples/sample_grep.json)
-H, --header string Add custom headers
-h, --help help for dalfox
--ignore-return string Ignore scanning from return code (e.g --ignore-return 302,403,404)
--only-discovery Only testing parameter analysis
-o, --output string Write to output file
--output-format string -o/--output 's format (txt/json/xml)
-p, --param string Only testing selected parameters
--proxy string Send all request to proxy server (e.g --proxy http://127.0.0.1:8080)
--silence Not printing all logs
--timeout int Second of timeout (default 10)
--user-agent string Add custom UserAgent
-w, --worker int Number of worker (default 40)
$ dalfox [mode] [flags]
Yhden kohteen tila
$ dalfox url http://testphp.vulnweb.com/listproducts.php\?cat\=123\&artist\=123\&asdf\=ff -b https://hahwul.xss.ht
Useita kohdetilaa tiedostosta
$ dalfox file urls_file --custom-payload ./mypayloads.txt
Putkilinjatila
$ cat urls_file | dalfox pipe -H "AuthToken: bbadsfkasdfadsf87"Lataa Dalfox:
Johtopäätös:
Dalfox on upea työkalu, jota voit käyttää.
Jos olet löytänyt arvoa tästä artikkelista. Muista kommentoida alle ja lisätä tiimimme innostusta.
Voit myös antaa tähän työkaluun liittyviä ehdotuksia tai kysymyksiä.
Tiimimme yrittää vastata sinulle mahdollisimman pian.
